Eigener Datenschutzbeauftragter für die Mitarbeitervertretung?
Rechte und Pflichten der MAV
Nach der alten Gesetzeslage waren Betriebsräte (im Folgenden „BR“) bzw. Mitarbeitervertretungen (im Folgenden „MAV“) zur Bestellung eines Datenschutzbeauftragten nicht verpflichtet. Nach dem Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DS-GVO) und der an diese angepassten kirchlichen Datenschutzgesetze (Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland – DSG-EKD und Gesetz über den Kirchlichen Datenschutz – KDG) ist die Verpflichtung der MAV zur Bestellung eines Datenschutzbeauftragten neu zu prüfen. Die Meinungen hierzu gehen in der Literatur durchaus auseinander.
Die Befürworter der Verpflichtung zur Bestellung eines Datenschutzbeauftragten stützen ihre Auffassung auf folgende Argumente:
- Verantwortlicher im Sinne des Datenschutzes ist auch eine „andere/sonstige Stelle, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Nr. 7 DS-GVO, § 4 Nr. 9 DSG-EKD, § 4 Nr. 9 KDG). Die MAV ist eine solche „andere/sonstige Stelle“.
- Die MAV entscheidet selbst, welche personenbezogenen Daten sie vom Dienstgeber zur Erfüllung ihrer Aufgaben benötigt.
- Die MAV organisiert selbst die Verarbeitung der ihr überlassenen personenbezogenen Daten. Sie entscheidet, ob die Daten analog oder digital verarbeitet, wie lange sie gespeichert und ob sie pseudonymisiert werden.
- Die MAV verarbeitet personenbezogene Daten in ganz erheblichem Umfang, so dass auch kleine MAV, die aus weniger als 10 Mitgliedern bestehen, zur Bestellung eines Datenschutzbeauftragten verpflichtet sind.
Die Gegner der Verpflichtung zur Bestellung eines Datenschutzbeauftragten argumentieren hingegen wie folgt:
- Die MAV ist kein Verantwortlicher im Sinne des Datenschutzes, weil sie über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten nicht selbst bestimmen kann.
- Die Zwecke der Datenverarbeitung werden der MAV durch das Mitarbeitervertretungsgesetz in der Evangelischen Kirche in Deutschland (MVG-EKD) bzw. die Mitarbeitervertretungsordnung (MAVO) vorgegeben.
- Die MAV verarbeitet personenbezogene Daten mit Hilfe der ihr vom Dienstgeber zur Verfügung gestellten Mittel. Sie hat die Informations- und Kommunikationstechnik des Dienstgebers zu nutzen.
- Datenschutzbeauftragte sind in der katholischen Kirche nur für kirchliche Stellen und nur durch diese zu bestellen (§ 36 Abs. 1 KDG). Die MAV selbst ist keine kirchliche Stelle, sondern nur ein Teil dieser.
- In der evangelischen Kirche sind Datenschutzbeauftragte „bei der verantwortlichen Stelle“ zu bestellen (§ 36 Abs. 1 DSG-EKD). Die MAV ist jedoch keine verantwortliche Stelle.
Das Bundesarbeitsgericht (BAG) hat die Frage, ob der BR Verantwortlicher im Sinne des Datenschutzrechts ist, bislang offengelassen (BAG, Beschluss 9. April 2019 – 1 ABR 51/17). Bis zur höchstrichterlichen Entscheidung in dieser Frage kann eine Verpflichtung der MAV zur Bestellung eines Datenschutzbeauftragten daher nicht ausgeschlossen werden.
Mitarbeitervertretung - Sanktionen
Sanktionen gegen die MAV oder einzelne Mitglieder, weil sie keinen Datenschutzbeauftragten bestellt haben, scheiden nach einhelliger Meinung jedoch aus, solange nicht höchstrichterlich entschieden ist, ob die MAV Verantwortlicher im Sinne des Datenschutzes ist. Die Bestellung eines eigenen Datenschutzbeauftragten für die MAV kann somit unterbleiben.
Zuständigkeit des betrieblichen Datenschutzbeauftragten für die MAV
Der Dienstgeber und die MAV sind zur vertrauensvollen Zusammenarbeit verpflichtet. Der Dienstgeber hat die MAV darauf hinzuweisen, dass sie zur Einhaltung des Datenschutzes verpflichtet ist. Sie soll auf die Erstellung eines eigenen Datenschutzkonzeptes hinwirken. Ob der betriebliche Datenschutzbeauftragte auch für die MAV zuständig ist und damit deren Arbeitsvorhänge auf Datenschutzkonformität überprüfen kann, ist umstritten. Vor Inkrafttreten der DS-GVO hat das BAG ein Kontrollrecht des betrieblichen Datenschutzbeauftragten in Hinblick auf die Arbeit des BR abgelehnt (BAG, Beschluss vom 11. November 1997 – 1 ABR 21/97).
Teilweise wird diese Entscheidung auch nach dem Inkrafttreten der DS-GVO für richtig und für auf die MAV übertragbar gehalten. Ein Kontrollrecht des betrieblichen Datenschutzbeauftragten würde nach dieser Ansicht die Unabhängigkeit der MAV gefährden. Diese Gefahr besteht nach Ansicht von Matthias Ullrich, dem Diözesandatenschutzbeauftragten der ostdeutschen Bistümer, nicht. Der betriebliche Datenschutzbeauftragte sei in seiner Aufgabe als Datenschutzbeauftragter von den Weisungen des Dienstgebers frei und unabhängig. Seine Aufgabe sei es, lediglich den Umgang mit personenbezogenen Daten auf seine Datenschutzkonformität zu prüfen.
Datenschutz Rechte und Pflichten Fazit
Solange das BAG nicht entscheidet, dass die MAV Verantwortlicher im Sinne des Datenschutzes ist, besteht keine Pflicht zur Bestellung eines Datenschutzbeauftragten durch die MAV. Der betriebliche Datenschutzbeauftrage ist aufgrund einer nach altem Recht ergangenen BAG-Entscheidung nicht für den BR zuständig. An der Unabhängigkeit des BR bzw. der MAV sowie den grundsätzlichen Aufgaben und der Stellung des Datenschutzbeauftragten hat sich seit der Entscheidung des BAG nichts geändert.
Bis zu einer möglichen Änderung der Rechtsprechung ist unserer Auffassung nach der betriebliche Datenschutzbeauftragte nicht für die MAV zuständig. Der Dienstgeber sollte im Rahmen der vertrauensvollen Zusammenarbeit jedoch darauf hinwirken, dass die MAV die für ihre Arbeit relevanten Datenschutzvorschriften kennt und ein eigenes Datenschutzkonzept entwirft. Wir unterstützen Sie gerne im Rahmen der Formulierung eines Datenschutzkonzeptes der MAV sowie der Schulung der MAV in Hinblick auf Ihre Rechte und Pflichten im Zusammenhang mit dem Datenschutz.
